Resultat och analys, intervju I

För att det skall bli enkelt att överblicka jämförelserna är avsnittet indelat efter intervjugui-dens frågeområden (bilaga 1).

5.1.1 Allmänt

De undersökta organisationerna ser mycket olika ut när det gäller storlek och organisation. Anställningsantalen spänner mellan 25 och 220, tre är offentliga förvaltningar och två är ak-tiebolag. Tre undersökningsobjekt är verksamma regionalt, ett nationellt och ett globalt. Alla studieobjekts huvudsakliga verksamheter är tjänsteinriktade. Men verksamheternas struktur skiljer sig åt mellan organisationerna. Två av de statliga myndigheterna och ett privat företag har en hög grad av differentiering, medan de övriga två har en mer specialiserad och enhetlig verksamhet.

Dessa skillnader verkar dock inte påverka riskhanteringen i så måtto att alla utom en av de undersökta organisationerna har en stark och väl avgränsad riskhanteringsfunktion på en eller annan nivå. Urvalet styrdes naturligtvis av att undersökningsobjekten skulle ha en riskhanter-ing, men det fanns inga krav på hur specialiserad den skulle vara. Alla informanter framhåller att riskhantering är något som återfinns i hela respektive organisation i större eller mindre ut-sträckning. Inom framför allt KBM och LFV har riskhantering funnits många år som ett vik-tigt och avgränsat arbetsområde, medan det hos Jämtkraft och LST är en förhållandevis ny inriktning – åtminstone som separat område.

5.1.2 Risker

Att göra jämförelser mellan organisationerna när det gäller vilka typer av risker man analyse-rar är svårt eftersom informanterna och organisationerna arbetar inom så vitt skilda områden. Men ett gemensamt drag är att organisationerna i princip bara hanterar fysiska risker. Ingen av informanterna anger risker i någon social dimension, varken när det gäller den egna organisa-tionen, externa kunder/avnämare eller ur samhällelig aspekt. En anledning till detta kan natur-ligtvis vara att resurserna fördelas efter verksamhetens delar, inte efter sociala principer. Men ingen tar upp dessa risker, varken på eget initiativ eller som svar på frågan vilka risker man står inför/behandlar. Dessutom tas i absolut största utsträckning akuta risker upp, som olyckor

och katastrofer. Den indelning som annars tycks vara vanligast är den mellan låg och hög fre-kvens av riskers inträffande kopplat till effekterna. Alltså det som under instrumentella risk-hanteringsmetoder togs upp som en avvägning av sannolikhet och konsekvens. En alternativ indelning är den som PWC använder – strategiska risker, operationella risker och finansiella risker.

En iakttagelse är att tre organisationer undviker att definiera vad risker är, medan LFV har en definition inom miljöområdet. Men den enda organisationen som har en övergripande defini-tion är PWC och det är samtidigt den som starkast framhåller problem med nomenklatur. En anledning till definitionsproblematiken verkar komma ur bristen på struktur. Så menar till ex-empel LST att man i framtiden, när arbetssätten rotats, förmodligen kommer att kunna enas om definitioner, åtminstone inom varje arbetsområde. Det som är problemet med att inte ha klara definitioner är att både olika organisatoriska nivåer och organisationer emellan kan ha svårt att närma sig varandra, vilket kan skapa svårigheter vid den faktiska riskhanteringen. Även riskernas konstitution kan vara problematisk när det gäller vilken metod som är optimal. Särskilt viktigt är riskers varaktighet framkommer det. Men dessutom kan konsekvenserna också variera i tidslängd. Så man har att ta i beaktande varaktighet hos såväl riskerna som konsekvenserna och, naturligtvis, riskhanteringen. Naturligtvis är detta avhängigt vilka typer av risker man arbetar med, men både inom strategiska och akuta risker finns det variationer. Något som framkommer från flera informanter är att den geografiska avgränsningen är ganska vag. Detta är dock en skenbar svaghet, riskhanteringen tycks tvärtom bli starkare i de fall av-gränsningen inte är helt självklar men där angränsande verksamheter eller organisationer överlappar eller kompletterar varandra.

5.1.3 Ledning

Oavsett hur de undersökta organisationerna arbetar med risker är ett gemensamt inslag att riskhantering skall vara integrerad i övrig verksamhet. Man framhåller att riskhantering inte får vara en separat aktivitet utan måste finnas medveten i alla organisationens delar. Det är där som den reella riskmedvetenheten ofta finns, men att man måste medvetandegöra riskerna och hur man hanterar dem på ett övergripande och gemensamt sätt. Att planera långsiktigt är ock-så viktigt deklarerar en informant. Flera informanter påpekar att riskhanteringen tar mycket tid/resurser i anspråk, men att detta främst kan hänföras till att man inte kommit så långt i

ar-betet. Samarbeten framhålls av flera som ett viktigt inslag, både inom organisationen och med andra organisationer och mellan privata företag och myndigheter, dels för att utveckla risk-hanteringen och dels för att komplettera varandras brister i de områden verksamheterna har samma behov eller ”överlappar” varandra.

Risker signaleras oftast från den operativa verksamheten eller som ett initiativ från ledning. Men riskhanteringen tycks förekomma antingen på den operativa nivån, alltså direkt i verk-samheten, eller på övergripande ledningsnivå. LFV är den som starkast anger uppdelningen som ett påtagligt problem, men de andra informanterna uttrycker samma sak i andra termer. PWC ser det hos sina kunder, Jämtkraft i tekniktyngden, LST arbetar med det i samverkans-grupper, och KBM hävdar att det privata näringslivet hunnit längre när det gäller delaktighet och integrering. Alla informanter upplever sig ha stöd i sitt arbete, antingen i form av interna och/eller externa resurser eller i form av samverkansgrupper. Det finns med andra ord ingen brist på kompetens, varken i verksamheten eller utifrån, snarare brist på metodik. LFV har dåliga erfarenheter av externa resurser (konsulter) medan PWC ser klara fördelar med att komma utifrån med ”nya” ögon, men att man måste samarbeta eftersom man inte har verk-samhetskunskapen.

De syften som anges för att genomföra riskanalyser är ganska allmänna – stärka förmågan, öka beredskapen, medvetandegöra risker och liknande. Men flera informanter menar att det finns implicita syften som resursfrågor och politik, till exempel att riskhanteringen är ett sätt att säkra befintliga strukturer eller att skydda begränsade resurser.

5.1.4 Metodik

Många områden inom riskhantering kan utvecklas, menar flera informanter. Det är en på sätt och vis ny uppgift för många aktörer, vilket gör att man ännu inte funnit formerna för det. Därför är själva metodiken avgörande eftersom den ger struktur åt riskhanteringen. Men me-todik kan handla om väldigt mycket – allt från kunskapsuppbyggnad, vägledning och sekre-tessfrågor till gemensamma definitioner och begrepp med mera.

I linje med att integrera riskhanteringen framhäver alla informanterna att den måste ske i dia-log mellan berörda parter. LST menar att om man arbetar på detta sätt kommer metodiken att växa fram och så småningom ”sätta sig”. KBM och LST är de undersökningsobjekt som tyd-ligast använder samverkan, med avnämare, intressenter och experter, när de utvecklar

meto-diken. Men de av organisationerna som arbetar med instrumentella risker (idag) har en mer verksamhetsmässig utgångspunkt där metoderna redan arbetats fram. Alternativt, som Jämt-kraft framhåller, att metoderna styrs rent erfarenhetsmässigt eller av de krav, exempelvis rätts-liga, som ställs på organisationen. Det som krävs av riskhanteringsmetoder är enligt under-sökningen två saker. Dels att de är praktiska och lätta att omsätta så att man snabbt får fram resultat och dels att de kan få användarna att se på risker ur nya perspektiv. Oavsett om man arbetar med den egna organisationen eller om man har kunder/avnämare är det ett klart mål för flera informanter att hela tiden hålla riskhantering levande. Och att de som medverkar i samråden är aktiva.

En annan sak som krävs av metoderna är att de gynnar utvecklingen av en gemensam nomen-klatur, men överhuvudtaget saknar flera informanter såväl strukturerande verktyg som meto-diska. En kanske självklar synpunkt är att ju närmare den operativa verksamheten man kom-mer desto kom-mer karaktär av checklistor och liknande får verktygen. Men även de som arbetar direkt i verksamheten framhäver att man måste lyfta blicken ibland för att få en större förstå-else för risker. Så, samtidigt som ett par informanter anger underifrånperspektivet som vägle-dande framhåller andra att metoderna bör komma ”uppifrån” som en hjälp att bredda perspek-tivet.

Eftersom riskhanteringen är knuten till organisationen är det naturligt att man försöker ringa in vilka risker som kan utgöra ett hot mot verksamheten. Men ingen av informanterna tar upp vare sig sådana risker som ligger i organisationens kärna, som värderingar, identitet, ledar-skap, kultur och dylikt, eller sådana som ligger utanför organisationens

verksamhets-/ansvarsområde. Naturligtvis kan inte varje organisation behandla all världens risker, men det är ändå slående att ingen talar om risker med svaga men långsiktiga effekter, som till exempel politiska beslut, som bevisligen påverkar den egna verksamheten eller att ingen heller har nå-gon uttalad metodik för detta.

Tre informanter betonar att det är människorna som arbetar med risker och kommunikationen mellan dem som är den viktigaste resursen, men att man måste dokumentera kunskapen ock-så. Därav kan man dra slutsatsen att det är där man bör lägga fokus när det gäller riskhanter-ing. Just att medvetandegöra och ackumulera kunskap ses som mycket viktigt. PWC säger att beredskapen i ämnet hos kunderna varierar kraftigt och att medvetande, struktur och metodik är det som de behöver hjälp med. Jämtkraft påpekar att kunskapen inte får finnas

odokumen-terad hos en eller ett fåtal personer eftersom kunskapen då försvinner från organisationen när personen gör det.

Något som samtliga informanter trycker på är att riskhantering måste vara en kombination av process och enskilda insatser. Men här märks också problematiken att förena dessa båda ar-betssätt; svårigheten att kombinera administrativa/strategiska metoder med instrumentel-la/akuta. En av bakgrundsfaktorerna till detta är skillnaden mellan det geografiskt/fysiskt av-gränsade respektive sektorsmässiga ansvaret. Mönstret tycks vara att fysiskt avav-gränsade an-svarsområden i första hand kräver instrumentella metoder medan sektorsmässiga kräver ad-ministrativa. Men denna indelning är inte absolut och utgör endast en tänkbar anledning. För-utom de rent metodiska problemen att kombinera arbetssätten påpekar KBM att man även måste hitta sätt att väga samman de olika riskerna, vilket kräver bättre metoder för processer och akuta insatser att mötas.

5.1.5 Redovisning

Både inom statlig förvaltning och privat näringsliv verkar behovet av och kraven på en utökad redovisning av riskhantering öka. Anledningen till detta tycks vara ett ökat fokus på risker generellt både inom en snabbt föränderlig företagsvärld och inom den globala politiken. Ge-nerellt framkommer i flera intervjuer ett stort behov av dokumentation, men inte nödvändigt-vis redonödvändigt-visning. Det tycks vara viktigast att redonödvändigt-visa inom riskområdet internt även om ett par informanter påpekar att extern redovisning visar på en förtroendeingivande transparens och trygg framåtanda när man demonstrerar sin förmåga att hantera risker. Särskilt framhålls detta i de privata organisationerna.

Redovisningen av riskhantering består av allt från rapporter och checklistor på detaljerad nivå och så uppåt i en glidande skala via analyser på olika nivåer till årsredovisningens mer all-männa innehåll. Det som informanterna menar återfinns i årsredovisningarna är inte någon separat riskhantering, även om sådan förekommer och är ett krav för aktiebolag i vissa länder, utan mer kan spåras implicit i säkerhetsutbildningar, miljöcertifiering, kvalitetsarbete med mera. Men man redovisar naturligtvis mer vad man gjort åt riskerna än vilka de är och hur man jobbar med dem. De som har krav på sig ”uppifrån” att rapportera genmäler ett missnöje med att inte ha kunskap om hur och till vad rapporteringen används.

PWC menar att en organisation som regelbundet redovisar sina risker och är öppna mot sina intressenter drabbas inte lika hårt om det händer något, eftersom man har talat om att det fak-tiskt kan hända. Om man ignorerar riskerna kan besvikelsen bli desto större.

Ingen av informanterna kan ange exakt hur stor budgetandel som viks åt riskhantering. Orsa-kerna till detta är framför allt att riskhanteringen är svår att isolera från annan verksamhet el-ler att informanten inte har kännedom. Men kongruent med det som tidigare tagits upp om resursfördelning anger samtliga informanter att mer resurser borde läggas på riskhantering, men också att koordinera befintliga resurser från olika verksamheter så att inte riskhantering-en blir något isolerat. Ett drag är att riskhanteringriskhantering-en i privata företag delvis initieras för att visa upp för intressenter att man tar ansvar för sin verksamhet och att man är uthållig, vilket kan utnyttjas strategiskt, medan det incitamentet inte finns hos de offentliga organisationerna. Detta kan tyckas som en självklarhet, men egentligen handlar det om politik och kunde myck-et väl framkommit tydligare hos de offentliga förvaltningarna. Anledningen till skillnaden ligger förmodligen och snarare i sättet att uttrycka sig.

5.1.6 Framtiden

Samtliga informanter tror att riskhantering kommer att öka i framtiden, men på ett mer tydligt strukturerat sätt än idag. Samarbeten framhålls som särskilt viktiga av LST och KBM. Men även LFV ser stora vinster med att hitta gemensamma arbetssätt. LFV tror också att med-vetenheten kommer att öka genom hela organisationen, inte minst genom utbildning. Ett par informanter anser att diskrepansen mellan abstrakta och konkreta metoder måste övervinnas. Men som tidigare nämnts är en av de viktigaste framtidsfrågorna integrationen av riskhanter-ing i hela verksamheterna.

Den risktyp som av flest informanter anges som den med störst ökning är informationstekno-logi och kommunikation. Under samtliga intervjuer diskuteras att komplexiteten ökar både i samhället och i den egna organisationen, vilket gör risker oöverblickbara. Men om man vill vara lite elak kan man hävda att det råder en inkonsekvens i detta. Samtidigt som organisatio-nerna försöker ringa in risker menar man att det är näst intill omöjligt och att det kommer att bli ännu svårare i framtiden. Men det kan också vara så att komplexiteten lett till att risker fördelats ut på fler enheter och att de faktiska och imaginära nätverken som uppstår i kom-plexa vävar har kapacitet att fånga upp aktörer när en risk inträffar. Medan man förr ”lade alla ägg i samma korg” har man nu mer varierade beroenden med omgivningen och andra system.